Mirai僵尸网络的幕后黑手在美国伏法
翻译:360代码卫士团队
美国司法部今天披露称,三名男子就创建Mirai恶意软件并利用Mirai僵尸网络攻击多个目标的事实供认不讳,表示认罪。从法庭文档来看,这三名男子的名字是Paras Jha、Josiah White和Dalton Norman。
美国当局表示这三名男子共同创建了针对运行Linux操作系统的智能设备和网络设备的Mirai恶意软件。
Mirai 使用Telnet扫描器识别暴露在互联网上的设备并通过利用代码和默认凭证组合来感染不安全的设备并将它们添加到巨大的僵尸网络中。
牵头调查的FBI表示Mirai僵尸网络感染的设备已经超过30万台,它们多数是DVR、安全摄像头和路由器。三名男子在2016年8月左右开始着手策划Mirai僵尸网络,而安全研究人员也是在同一时间发现了它的痕迹。
从认罪协议来看,White创建了 Mirai 的Telnet 扫描器,Jha负责僵尸网络的核心基础设施以及远程控制功能,而Norman负责开发新的利用代码。
这三名男子均在黑客论坛上将 Mirai 僵尸网络作为DDoS 雇佣服务进行推销,不过Jha 似乎还自己使用过这个僵尸网络试图破坏一家托管公司。
这种供租赁模式为早期确定 Mirai 僵尸网络的来源制造了困难。早期利用原始Mirai僵尸网络攻击的是信息安全调查记者Braian Krebs、法国托管提供商OVH和DNS管理提供商Dyn。而Mirai僵尸网络也因受攻击对象的知名度而变得家喻户晓。针对 OVH 的DDoS 攻击达到不可思议的1.1 Tbps,而针对Dyn的攻击让Mirai僵尸网络走向聚光灯,因为它导致互联网上约四分之一的网站中断服务。
随后,Jha通过网络昵称 Anna-senpai 发布了Mirai的源代码,导致其他恶意软件开发人员创建了无数种Mirai克隆,目前创建的最新变体是Satori。Jha这么做的原因应该是希望隐藏Mirai的踪迹,扰乱调查人员的视线。
法庭文件还指出,这三名男子使用Mirai僵尸网络将正常流量中继到点击欺诈恶意软件(秘密点击广告)中,为运营人员带来非法牟利的同时也让自己的腰包鼓起来。另外,Jha还对在创建Mirai恶意软件之前,于2014年11月至2016年9月期间攻击自己的母校罗格斯大学一事供认不讳。
今天公布的法庭文档还证实了Brian Krebs针对自己网站的DDoS攻击来源的调查结论。他曾表示Jha和White很可能是Mirai僵尸网络的罪魁祸首。
Jha此前曾在2017年1月接受FBI问询。从判决摘要书来看,美国当局在2017年5月份就对三人提起诉讼。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/us-charges-three-men-with-creating-and-running-first-ever-mirai-botnet/